Le référentiel du COSO, définit cinq (5) composantes du contrôle interne :

1. L'environnement de contrôle qui correspond à l'attitude et aux actions du Conseil et de la

Direction Générale au regard de l'importance du dispositif de contrôle dans l'Organisation.

2. L'évaluation des risques qui correspond au processus par lequel l'Organisation identifie les risques
pouvant l'empêcher d'atteindre ses objectifs, les évalue, les hiérarchise et définit les modalités de
traitement appropriées.

3. Les activités de contrôle qui représentent les actions définies par les règles et procédures qui
visent à apporter l'assurance raisonnable que les instructions du management pour maîtriser les
risques susceptibles d'affecter la réalisation des objectifs sont mises en œuvre.

4. L'information et la communication concernant d'une part la qualité de l'information qui est

produite par le système d'information de l'Organisation (information) et d'autre part la
compréhension par toutes les parties prenantes de l'Organisation, de leurs rôles et responsabilités
dans la mise en œuvre d'un contrôle interne efficace (communication).

5. La surveillance ou monitoring qui consiste à mettre en place un mécanisme de surveillance des

contrôles pour s'assurer qu'ils fonctionnent comme prévu, et qu'ils sont mis à jour au besoin afin de
s'adapter aux changements dans l'activité de l'organisation ou dans son environnement.

COSO 2 s'appuie sur le cadre de contrôle interne (COSO 1, 1992), corrige et complète le concept de

Contrôle interne en élargissant la réflexion sur un thème plus global de gestion des risques. Vise à
répondre aux besoins des entreprises et organisations en contrôle interne tout en leur permettant
d'évoluer vers un processus de management des risques plus développé.

Le dispositif de management des risques du COSO 2 comprend 8 éléments :

1- L'environnement interne ; L'environnement interne forme le style d'une organisation. Il révèle la

sensibilisation aux risques. Le cadre COSO précise que « l’impact d'un environnement interne
inefficace peut être considérable et se traduire par des pertes financières, une altération de l'image
de marque, voire par une faillit des personnes qui composent l'entreprise.

2- La fixation des objectifs ; La détermination des objectifs appropriés pour toutes les activités de
l'organisation est un facteur essentiel de réussite. C'est par rapport aux objectifs que l'organisation
identifie les risques qui peuvent menacer, justement, l'atteinte de ces objectifs.

3- L'identification des événements ; L'identification des événements, qui sont source de risque ou
d'opportunité, est à la base du management des risques.

Selon le cadre COSO, « un événement est un incident ou une occurrence, d'origine interne ou
externe, qui affecte la mise en œuvre ou l'atteinte des objectifs. Les événements peuvent avoir un
impact positif, négatif ou les deux »
4- L'évaluation des risques ; Evaluer un risque consiste à en apprécier la gravité estimée sur la base de
la combinaison : Probabilité d'occurrence x impact

Risque inhérent et risque résiduel : Le risque inhérent est défini par le cadre COSO comme étant «
celui auquel une entité est exposée en l'absence de mesures correctives pour en modifier la
probabilité d'occurrence ou l’impact » alors que « le risque résiduel est le risque auquel l'entité reste
exposée après la prise en compte des solutions mises en œuvre par le management ».

La démarche consiste à évaluer le risque inhérent dans un premier temps puis, une fois les réponses
définies, l'évaluation porte sur les risques résiduels.

5- Le traitement des risques : Le cadre COSO retient quatre types de traitement des risques
(l'évitement, la réduction, le partage et l'acceptation)

6- Les activités ou les points de contrôle ; Les activités de contrôle sont constituées des politiques et
des procédures qui permettent de s'assurer que les traitements des risques fonctionnent et que les
activités se déroulent sous contrôle. (- Les contrôles préventifs ; Les contrôles protectifs)

7- Information et communication ; La capacité d'identifier, de saisir, de traiter l'information pertinente

est une composante clé de tout système de gestion du risque. Ceci mesure l'importance de mettre en
place un système d'information (infrastructure, logiciels et utilisateurs qualifiés) efficace et
performant permettant d'identifier, de saisir, de traiter et de communiquer les informations
pertinentes dans un format et dans des délais permettant à chacun de s'acquitter de ses
responsabilités

8- Le pilotage : La qualité et l'efficacité d'un système de management des risques sont fonction de la
vigueur et de l'efficacité du pilotage du dispositif de management des risques dans son ensemble.

Le pilotage est réalisé de deux manières qui interagissent, se complètent et se combinent, à savoir :

- Le pilotage continu c'est-à-dire permanent et courant ;

- L'évaluation spécifique périodique.

Les différents outils de pilotage donnent lieu à un reporting sur les défaillances du dispositif de
gestion des risques. Le pilotage est efficace lorsqu'il permet de résoudre les problèmes et assurer
l'amélioration continue du système.

Le modèle des 3 lignes de maîtrise définit une catégorisation simple et

efficace des différents intervenants du processus de management des risques
et une clarification du rôle de chaque acteur.
Il comprend :

1. Le management opérationnel : il constitue la première ligne de défense.

2. Les fonctions de contrôle permanent, de supervision des risques et de conformité constituent la

deuxième ligne de maîtrise. Elle comprend les fonctions telles que Risk Manager, Responsable
Conformité, Contrôleur Qualité, Contrôleur Financier, Contrôleur de Gestion, etc.

3. L'audit interne : il constitue la troisième et dernière ligne de maîtrise et a pour rôle de fournir aux
organes de gouvernance une assurance indépendante et objective sur les processus de management
des risques et de contrôle interne et en particulier sur l'existence et le fonctionnement des 2
premières lignes de défense. La réussite du modèle dépend de l'impulsion donnée par le top
management et les organes de gouvernance qui ne font partie d'aucune des 3 lignes.